前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了電網(wǎng)信息安全設(shè)備聯(lián)動(dòng)技術(shù)淺談范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
【摘要】近年來(lái),關(guān)于網(wǎng)絡(luò)安全問(wèn)題的案件越來(lái)越多,很多時(shí)候比較簡(jiǎn)單且單一的網(wǎng)絡(luò)防御設(shè)施對(duì)這些攻擊毫無(wú)抵抗之力,這就要求需要更高等且更多數(shù)量的設(shè)備聯(lián)動(dòng)工作來(lái)抵御這些惡意攻擊。在電網(wǎng)工作中,其所面對(duì)的網(wǎng)絡(luò)安全問(wèn)題主要是設(shè)備過(guò)于單一,機(jī)組之間沒(méi)有關(guān)聯(lián)性,對(duì)潛在的網(wǎng)絡(luò)攻擊沒(méi)有很好地預(yù)防功能。針對(duì)這類(lèi)問(wèn)題,本文將提出一種設(shè)備聯(lián)動(dòng)相關(guān)的模型,這項(xiàng)模型的原理是由不同種類(lèi)的防火墻和電網(wǎng)信息安全防護(hù)設(shè)備相互聯(lián)動(dòng)工作并傳遞信息,可以對(duì)整個(gè)電網(wǎng)信息的安全事件進(jìn)行實(shí)時(shí)分析,達(dá)到一種主動(dòng)防御的效果。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;設(shè)備聯(lián)動(dòng);主動(dòng)防御
互聯(lián)網(wǎng)科技的飛速發(fā)展,人們的生活對(duì)網(wǎng)絡(luò)的依賴(lài)越來(lái)越重,人們平時(shí)使用的各項(xiàng)應(yīng)用都離不開(kāi)網(wǎng)絡(luò),許多不法分子通過(guò)網(wǎng)絡(luò)攻擊來(lái)竊取用戶(hù)的個(gè)人信息甚至盜竊國(guó)家的重要信息,不法分子的網(wǎng)絡(luò)攻擊從最早的單個(gè)個(gè)人攻擊轉(zhuǎn)變成有組織甚至面對(duì)集團(tuán)的攻擊,各種不同的新型高技術(shù)網(wǎng)絡(luò)攻擊層出不窮,互聯(lián)網(wǎng)中的攻防戰(zhàn)也是到了一種白熱化階段,許多比較傳統(tǒng)的網(wǎng)絡(luò)安全防御手段如防火墻已經(jīng)不再是新型網(wǎng)絡(luò)攻擊的對(duì)手了,在中國(guó)乃至全球已經(jīng)進(jìn)入到信息全球化時(shí)代的今天,國(guó)家的各項(xiàng)關(guān)乎著國(guó)民生計(jì)的企業(yè)安全信息如交通運(yùn)輸以及石油石化等方面都進(jìn)入了電子信息化,保衛(wèi)這些信息的安全工作迫在眉睫,新型的網(wǎng)絡(luò)攻擊也在不斷地試探著這些信息的安全防衛(wèi)措施,在當(dāng)下必須著重于各種網(wǎng)絡(luò)安全信息防衛(wèi)設(shè)備的聯(lián)動(dòng)工作來(lái)應(yīng)對(duì)這些日益猖獗的新型網(wǎng)絡(luò)攻擊。
1網(wǎng)絡(luò)安全聯(lián)動(dòng)模型概述
1.1我國(guó)電網(wǎng)的信息安全三條防線(xiàn)
在當(dāng)今21世紀(jì),互聯(lián)網(wǎng)科技發(fā)展迅速,網(wǎng)絡(luò)的應(yīng)用也愈加廣泛,在網(wǎng)絡(luò)給我們帶來(lái)各種便利的同時(shí),網(wǎng)絡(luò)安全問(wèn)題也需要我們時(shí)刻關(guān)注。在新時(shí)代的網(wǎng)絡(luò)防御框架的構(gòu)建過(guò)程中,安全防衛(wèi)設(shè)備能夠合理有序且分工明確的工作是構(gòu)建框架的主旨,一個(gè)合理的構(gòu)架可以達(dá)到比預(yù)期更好效果。為此,我國(guó)電網(wǎng)在信息安全網(wǎng)絡(luò)構(gòu)建中就提出了“分區(qū)分域”的思想,在電力網(wǎng)絡(luò)的結(jié)構(gòu)劃分時(shí),電力調(diào)度業(yè)務(wù)被分區(qū)到生產(chǎn)與控制的區(qū)域,管理以及對(duì)外功能則區(qū)分到了管理信息大區(qū),由于系統(tǒng)可能需要通過(guò)互聯(lián)網(wǎng)來(lái)和外部進(jìn)行信息交流,管理信息大區(qū)被細(xì)分為信息外網(wǎng)和信息內(nèi)網(wǎng)。外部互聯(lián)網(wǎng)傳達(dá)進(jìn)來(lái)的信息必須通過(guò)管理信息大廳的信息外網(wǎng)來(lái)進(jìn)行相關(guān)的處理和收集工作,處理完成后再傳遞給生產(chǎn)控制大廳來(lái)進(jìn)行調(diào)度工作,電網(wǎng)公司在這之間設(shè)立了三道縱深防線(xiàn),第一道是通用的防火墻,這道防線(xiàn)處于外部互聯(lián)網(wǎng)與信息外網(wǎng)中間的位置;而在管理信息大廳中的信息外網(wǎng)和信息內(nèi)網(wǎng)中間,有著一道邏輯強(qiáng)隔離裝置作為第二道防線(xiàn)來(lái)限制通過(guò)系統(tǒng)的信息只能是受控的或者是與數(shù)據(jù)庫(kù)允許操作相關(guān)的數(shù)據(jù)信息,防止非法信息侵入系統(tǒng);最后一道防線(xiàn)是處于管理信息大區(qū)和生產(chǎn)控制大區(qū)之間的橫向隔離裝置,其中分為正向隔離裝置和反向隔離裝置,對(duì)管理信息大區(qū)和生產(chǎn)控制大區(qū)之間的信息進(jìn)行單向傳遞管理,保障信息安全。且三道防線(xiàn)的防衛(wèi)強(qiáng)度是逐級(jí)遞增的。
1.2安全防衛(wèi)設(shè)備的聯(lián)動(dòng)模型
在防衛(wèi)新型的網(wǎng)絡(luò)攻擊中,單一的防火墻難以抵御攻勢(shì),為此,防火墻廠(chǎng)商們提出可以通過(guò)聯(lián)動(dòng)其他防御設(shè)備來(lái)彌補(bǔ)防火墻的單一性,通過(guò)改良的手段來(lái)優(yōu)化防火墻自身所面臨的缺陷和不足,讓防火墻可以適應(yīng)當(dāng)今網(wǎng)絡(luò)安全所要求的整體化和立體化。網(wǎng)絡(luò)安全方位需要聯(lián)動(dòng)的這一思想在互聯(lián)網(wǎng)漸漸擴(kuò)散開(kāi)來(lái),各大入侵檢測(cè)系統(tǒng)的廠(chǎng)商和病毒防御廠(chǎng)商都相繼開(kāi)發(fā)出新型的聯(lián)動(dòng)型防御產(chǎn)品,其中應(yīng)用最多的是入侵檢測(cè)系統(tǒng)和防火墻的設(shè)備聯(lián)動(dòng)。在前文中提到的我國(guó)電網(wǎng)的信息安全三道放線(xiàn)中,只有第一道防線(xiàn)是通用的防火墻,其他兩道防線(xiàn)都是電網(wǎng)中專(zhuān)用的安全防護(hù)設(shè)備,如何解決我國(guó)電網(wǎng)信息安全的有效聯(lián)動(dòng)性,其關(guān)鍵就在于要將第一道防線(xiàn)的通用防火墻與其他兩道防線(xiàn)中的電網(wǎng)專(zhuān)用安全防護(hù)設(shè)備進(jìn)行一個(gè)銜接,并通過(guò)信息的傳遞達(dá)到聯(lián)動(dòng)的效果。因此,最后得出來(lái)的模型便是首先由發(fā)生的信息安全時(shí)間來(lái)收集有關(guān)且有效的信息,通過(guò)對(duì)時(shí)間信息的各項(xiàng)分析,一旦發(fā)現(xiàn)是潛在的入侵事件,系統(tǒng)將自動(dòng)把相關(guān)信息提交傳遞給安全決策模塊,并給予不同程度的警告,安全聯(lián)動(dòng)決策模塊通過(guò)系統(tǒng)中的知識(shí)數(shù)據(jù)庫(kù)來(lái)對(duì)該事件進(jìn)行判斷,根據(jù)其危害程度來(lái)判斷聯(lián)動(dòng)設(shè)備是否需要開(kāi)始工作,若威脅度達(dá)到一定程度,系統(tǒng)會(huì)通過(guò)與映射表的連接來(lái)制定相應(yīng)的聯(lián)動(dòng)要求,最后再輸出到相應(yīng)設(shè)備進(jìn)行防御。
2安全設(shè)備聯(lián)動(dòng)關(guān)鍵技術(shù)的應(yīng)用
在安全設(shè)備的聯(lián)動(dòng)中,主要手段是防火墻對(duì)外部開(kāi)放的聯(lián)動(dòng)接口,當(dāng)有不法分子進(jìn)行惡意的網(wǎng)絡(luò)攻擊時(shí),聯(lián)動(dòng)接口會(huì)對(duì)危險(xiǎn)信息進(jìn)行處理,實(shí)時(shí)更改防火墻的訪(fǎng)問(wèn)權(quán)限和規(guī)則,以此來(lái)完成聯(lián)動(dòng)。而這些協(xié)議一般有OPSEC和SNMP以及TOPSEC這幾個(gè)比較具有代表性的組成,在這些看似不同的協(xié)議中,其主要還是適用于某些特定的平臺(tái),他們都不是通用型的協(xié)議,于是孕育而生了適配層這一項(xiàng)技術(shù),這項(xiàng)技術(shù)可以將上層應(yīng)用的獨(dú)立性體現(xiàn)出來(lái),可以忽略對(duì)不同防火墻聯(lián)動(dòng)協(xié)議的特殊要求,當(dāng)防火墻的聯(lián)動(dòng)協(xié)議發(fā)生變更或更新,可以直接更改適配層,對(duì)上層應(yīng)用無(wú)需進(jìn)行變更。在安全事件的處理上,安全設(shè)備聯(lián)動(dòng)關(guān)鍵技術(shù)的應(yīng)用主要體現(xiàn)在前文中的信息安全三道防線(xiàn),安全監(jiān)視主要依靠后面兩道電網(wǎng)專(zhuān)用防線(xiàn),無(wú)論是第二道還是第三道防線(xiàn)都是比較獨(dú)立的隔離系統(tǒng),對(duì)安全事件的監(jiān)測(cè)和預(yù)警都有很高的實(shí)現(xiàn)度,但是卻不能與第一道放線(xiàn)中的防火墻進(jìn)行聯(lián)動(dòng),對(duì)潛在的威脅很難做到提前監(jiān)測(cè)和預(yù)防,為此需要在信息內(nèi)網(wǎng)中對(duì)采集的安全事件相關(guān)信息進(jìn)行處理和分析,發(fā)現(xiàn)有潛在的威脅時(shí),立刻聯(lián)動(dòng)反饋給防火墻,及時(shí)阻斷威脅的入侵。
3結(jié)語(yǔ)
本文通過(guò)對(duì)電網(wǎng)信息安全構(gòu)架的詳細(xì)講解,分析了電網(wǎng)信息安全設(shè)備聯(lián)動(dòng)的重要性,對(duì)構(gòu)架中每個(gè)防御設(shè)備進(jìn)行功能描述,將不同的安全設(shè)備進(jìn)行聯(lián)動(dòng)來(lái)抵御不同的網(wǎng)絡(luò)攻擊和防御潛在的威脅,利用適配層來(lái)改良由于防火墻協(xié)議的變更而導(dǎo)致的上層應(yīng)用需進(jìn)行大程度變更的弊端,筆者將繼續(xù)進(jìn)行安全設(shè)備聯(lián)動(dòng)關(guān)鍵技術(shù)的研究,將聯(lián)動(dòng)規(guī)則進(jìn)行完善,爭(zhēng)取達(dá)到更好的防衛(wèi)效果。
參考文獻(xiàn)
[1]王紅凱,黃益彬,馬志程.電網(wǎng)信息安全設(shè)備聯(lián)動(dòng)關(guān)鍵技術(shù)[J].計(jì)算機(jī)與現(xiàn)代化,2017(02):57~60.
[2]陳習(xí),覃巖巖,王寧,陳寧.威脅發(fā)現(xiàn)設(shè)備在電網(wǎng)信息安全建設(shè)中的應(yīng)用[J].數(shù)字通信世界,2017(02):202+201.
[3]朱璐.淺談電網(wǎng)公司一體化、可視化、智能化的信息通信調(diào)度理論體系[J].中國(guó)新通信,2013,15(20):7~8.
[4]齊四清,劉世民,趙晶,高敏.安全設(shè)備聯(lián)動(dòng)模型在電力企業(yè)信息安全的應(yīng)用[J].中國(guó)科技信息,2013(04):74+76.
作者:李峰 張崇超 皮志賢 單位:國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院 國(guó)網(wǎng)網(wǎng)安(北京)科技有限公司
級(jí)別:北大期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:北大期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)